CVE-2021-0932

Versões do Android: Android-10

O problema está relacionado a uma possível condição de “confused deputy” devido a um PendingIntent inseguro na função showNotification do arquivo NavigationModeController.java. Isso pode levar à escalada de privilégios local, permitindo que ações sejam executadas como a interface do usuário do sistema (System UI) com os privilégios de execução do usuário necessários. Não é necessária a interação do usuário para a exploração.

Para a versão Android-10, considere restringir o uso da função showNotification no NavigationModeController.java até que um patch esteja disponível. Como solução alternativa temporária, revise e limite o uso de PendingIntent para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.